Rus istihbaratı, devam eden Ukrayna işgalinin bir parçası olarak, bu sefer NATO üyesi devletlerin dışişleri bakanlıkları ve diplomatlarının yanı sıra Avrupa Birliği ve Afrika’daki diğer hedefleri gözetlemek için hacker grubu Nobelium/APT29’un hizmetlerinden yararlandı. .
Zamanlama, yine Rusya ile bağlantılı olduğuna inanılan Kanada altyapısına yönelik bir dizi saldırıyla da örtüşüyor.
Polonya Askeri Karşı İstihbarat Servisi ve Polonya’daki CERT ekibi, 13 Nisan’da uzlaşma göstergeleriyle birlikte casusluk kampanyasının potansiyel hedeflerini tehdit konusunda uyaran bir uyarı yayınladı. Grubun Microsoft tarafından belirlendiği ve Mandiant tarafından APT29 olarak da adlandırılan Nobelium, ulus-devlet casusluk oyununda yeni değil, grup yaklaşık üç yıl önce rezil SolarWinds tedarik zinciri saldırısının arkasındaydı.
Polonya ordusu ve CERT alarmı, APT29’un şimdi tamamen yeni bir dizi kötü amaçlı yazılım aracıyla geri döndüğünü ve Ukrayna’yı destekleyen ülkelerin diplomatik birliklerine sızmak için emirler aldığını bildirdi.
APT29 Yeni Siparişlerle Geri Döndü
Polonya uyarısına göre her durumda, gelişmiş kalıcı tehdit (APT) saldırısına iyi tasarlanmış bir kimlik avı e-postası ile başlar.
Yetkililer, “Avrupa ülkelerinin büyükelçiliklerini taklit eden e-postalar, diplomatik görevlerdeki seçilmiş personele gönderildi.” “Yazışma, bir toplantıya veya belgeler üzerinde birlikte çalışmaya davet içeriyordu.”
Mesaj daha sonra alıcıyı bir bağlantıya tıklamaya veya büyükelçinin takvimine erişmek için bir PDF indirmeye veya toplantı ayrıntılarını almaya yönlendirir – her ikisi de hedefleri, raporun tanımladığı gibi tehdit grubunun “imza komut dosyası” ile yüklenmiş kötü amaçlı bir siteye gönderir. “Kıskançlık.”
“BENPolonyalı yetkililer, sayfaya yerleştirilen kötü amaçlı bir dosyanın sayfa açıldığında JavaScript kullanılarak kodunun çözüldüğü ve daha sonra kurbanın cihazına indirildiği HTML kaçakçılığı tekniğini kullanıyor. depolandığı sunucu tarafı.”
Uyarıda, kötü amaçlı sitenin ayrıca hedeflere doğru dosyayı indirdiklerine dair güvence veren bir mesaj gönderdiği belirtildi.
SlashNext CEO’su Patrick Harr, Dark Reading’e kampanya hakkında “İletişimler iyi yazıldığında, hedefe aşinalık göstermek için kişisel bilgileri kullandığında ve meşru bir kaynaktan geliyormuş gibi göründüğünde hedefli kimlik avı saldırıları başarılı oluyor.” “Bu casusluk kampanyası, başarı için tüm kriterleri karşılıyor.”
Örneğin, bir kimlik avı e-postası Polonya büyükelçiliğinin kimliğine büründü ve ilginç bir şekilde, gözlemlenen kampanya boyunca Envyscout aracı üç kez karartma iyileştirmeleriyle değiştirildi, Polonyalı yetkililer belirtti.
Polonya uyarısına göre grup, güvenliği ihlal edildikten sonra Snowyamber indiricisinin değiştirilmiş sürümlerini, Cobalt Strike’ı gömülü kod olarak çalıştıran Halfrig’i ve Halfrig ile kod paylaşan Quarterrig’i kullanıyor.
Harr, “Kötü aktörün başarıyı ayarlamak ve iyileştirmek için bir kampanyada birden fazla aşama kullandığı bu saldırılarda bir artış görüyoruz” diye ekliyor. “Neyin tespitten kaçtığını belirlemek ve başarıyı artırmak için sonraki saldırıları değiştirmek için otomasyon ve makine öğrenimi teknikleri kullanıyorlar.”
Polonya siber güvenlik yetkililerine göre, hükümetler, diplomatlar, uluslararası kuruluşlar ve sivil toplum kuruluşları (STK’lar) bu ve diğer Rus casusluk çabaları için yüksek alarm durumunda olmalıdır.
Yetkililer, “Askeri Karşı İstihbarat Servisi ve CERT.PL, aktörün ilgi alanında olabilecek tüm kuruluşların, açıklanan harekatta kullanılan dağıtım mekanizmasını bozmak için yapılandırma değişikliklerini uygulamasını şiddetle tavsiye ediyor” dedi.
Kanada Altyapısına Rus Bağlantılı Saldırılar
Polonyalı siber güvenlik yetkililerinin uyarılarının yanı sıra, geçen hafta Kanada Başbakanı Justin Trudeau, Kanada altyapısına yönelik son zamanlarda Rusya bağlantılı siber saldırılar hakkında kamuoyuna açıklamalarda bulundu.Québec, elektrik şirketi, Trudeau’nun ofisi için web sitesi, Port of QuébecVe Laurentian Bankası. Trudeau, siber saldırıların Kanada’nın Ukrayna’ya verdiği destekle ilgili olduğunu söyledi.
“Trudeau, “Hükümet web sitelerine yönelik birkaç hizmet reddi saldırısı ve onları birkaç saatliğine devre dışı bırakma, Ukrayna’yı desteklemek için ne gerekiyorsa yapma konusundaki kesin tutumumuzu yeniden düşünmemize neden olmayacak” dedi. , raporlara göre.
Kanada Siber Güvenlik Merkezi patronu Sami Khoury, geçen hafta düzenlediği basın toplantısında, Kanada’nın altyapısına herhangi bir zarar gelmemesine rağmen “tehdidin gerçek olduğunu” söyledi. Kanadalılara erişim sağlamak, sağlık hizmeti sağlamak veya genel olarak Kanadalıların onsuz yapamayacakları hizmetlerden herhangi birini çalıştırmak için sistemlerinizi korumanız gerekir” dedi Khoury. “Ağlarınızı izleyin. Hafifletmeleri uygulayın.”
Rusya’nın Siber Suç Çabaları Hızla Devam Ediyor
Rusya’nın Ukrayna’yı işgali ikinci yılına girerken, Vulcan Cyber ile Mike Parkin son kampanyaların pek de sürpriz olmaması gerektiğini söylüyor.
“Siber güvenlik topluluğu, başladığından beri Ukrayna’daki çatışmanın serpintilerini ve tali hasarını izliyor ve Rus ve Rusya yanlısı tehdit aktörlerinin Batılı hedeflere karşı aktif olduğunu biliyoruz.” Parkin diyor. “Halihazırda uğraştığımız siber suç faaliyeti seviyeleri göz önüne alındığında, [these are] sadece bazı yeni araçlar ve yeni hedefler – ve savunmalarımızın güncel olduğundan ve düzgün şekilde yapılandırıldığından emin olmak için bir hatırlatma.”